Под удар попали десятки организаций в Беларуси, Азербайджане, Таджикистане, Туркменистане и Киргизии.
Ранее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года.
«Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos.
В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции.
Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось.
Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.
Цепочка заражения YoroTrooper
Вредоносные ярлыки функционируют как простые загрузчики для выполнения файла формата «.hta», полученного с удаленного сервера. После запуска этого файла жертва атаки видит обычный «.pdf» документ, однако в фоне запускается дроппер для доставки похитителя данных. В качестве канала для эксфильтрации данных злоумышленники используют Telegram.
Примечательно использование злоумышленниками LodaRAT, так как это указывает на то, что данное вредоносное ПО используется несколькими разными группировками, несмотря на принадлежность вредоноса к хакерам из Kasablanka. Эта группировка ранее также была замечена в распространении Ave Maria в недавних вредоносных кампаниях, нацеленных на Россию.
Другие вспомогательные инструменты, развернутые YoroTrooper, состоят из обратных оболочек и пользовательского кейлоггера на основе языка C. Кейлоггер способен записывать нажатия клавиш и сохранять их в файл на диске.
«Стоит отметить, что, хотя эта кампания началась с распространения обычных вредоносных программ, таких как Ave Maria и LodaRAT, она значительно расширилась и теперь включает вредоносное ПО на основе Python. Это подчеркивает увеличение усилий, прилагаемых злоумышленниками», — заключили исследователи Cisco Talos.
Наш канал — питательная среда для вашего интеллекта